2023(第八届)供水高质量发展论坛上，合(he)肥供水(shui)集团有限公司总(zong)经济师朱波(bo)以“供水(shui)技术标准转型(xing)中的(de)数(shu)(shu)据(ju)(ju)安(an)全”为题做了分享。他(ta)表(biao)示，数(shu)(shu)据(ju)(ju)安(an)全治(zhi)理(li)(li)(li)是数(shu)(shu)据(ju)(ju)治(zhi)理(li)(li)(li)的(de)一个子集，安(an)全治(zhi)理(li)(li)(li)既可在数(shu)(shu)据(ju)(ju)治(zhi)理(li)(li)(li)框(kuang)架下(xia)进行，也可独立(li)实(shi)施。欲(yu)速则(ze)不(bu)达(da)，数(shu)(shu)据(ju)(ju)的(de)安(an)全问题得不(bu)到(dao)妥善解决，那么宁愿数(shu)(shu)字化转型(xing)慢一点，或者(zhe)不(bu)转型(xing)，也不(bu)能在错误的(de)方向上渐(jian)行渐(jian)远。

朱波

合肥供(gong)水(shui)(shui)(shui)集(ji)团(tuan)始建于1954年，国有独资大型企业(ye)，注册(ce)资本9亿元，主要承担合肥市区和巢湖、肥西、北(bei)城等区域的供(gong)水(shui)(shui)(shui)保(bao)障与(yu)服务(wu)工作。目前(qian)，集(ji)团(tuan)资产总额(e)132亿元，下辖制水(shui)(shui)(shui)厂9个，日供(gong)水(shui)(shui)(shui)能力295.5万(wan)立方米(mi)，直径75毫米(mi)以上供(gong)水(shui)(shui)(shui)管网11277公里，用户304万(wan)户，服务(wu)面积897平方公里。

数据安全领域的“三驾马车”，深度解读《数据安全法》

2021年6月10日，十三届全(quan)(quan)国(guo)人(ren)大常委(wei)会第二(er)十九次会议表决(jue)通过了《中华人(ren)民共(gong)和国(guo)数(shu)(shu)据(ju)安全(quan)(quan)法(fa)》，于2021年9月1日起(qi)(qi)施行。《数(shu)(shu)据(ju)安全(quan)(quan)法(fa)》与《网络安全(quan)(quan)法(fa)》、《个人(ren)信息保(bao)(bao)护(hu)法(fa)（草(cao)案）》一(yi)起(qi)(qi)成为(wei)数(shu)(shu)据(ju)安全(quan)(quan)领域(yu)基础性法(fa)律(lv)体系“三驾马车”，保(bao)(bao)证数(shu)(shu)据(ju)安全(quan)(quan)实践有法(fa)可依(yi)，同时将数(shu)(shu)据(ju)安全(quan)(quan)提升至国(guo)家层面的新高度(du)。

《数(shu)据安(an)全(quan)法》的制(zhi)定(ding)，是维护(hu)国(guo)家安(an)全(quan)的必要要求，是维护(hu)人民群(qun)众合法权益(yi)的客(ke)观需要，同时也(ye)是促进数(shu)字经(jing)济(ji)健(jian)康发(fa)展的重要举措(cuo)。《数(shu)据安(an)全(quan)法》的价(jia)值定(ding)位包括坚持(chi)安(an)全(quan)与发(fa)展并(bing)重、加强具(ju)体制(zhi)度(du)与法律(lv)框架衔(xian)接、回应实践问题及社会关切(qie)。

《数据安全法(fa)》是(shi)数据安全领域的基(ji)础(chu)性法(fa)律，基(ji)础(chu)性法(fa)律的功能更多注(zhu)重的不是(shi)解决问(wen)题，而(er)是(shi)为(wei)问(wen)题的解决提(ti)供指(zhi)导(dao)思路(lu)，问(wen)题的解决需要依(yi)靠相配套的法(fa)律法(fa)规。

监管主体(ti)(ti)和工作(zuo)机(ji)制(zhi)方面，中央国家(jia)安(an)全领导机(ji)构作(zuo)为总体(ti)(ti)统筹，国家(jia)网信部(bu)门、中央军事委员(yuan)会、公(gong)安(an)/国家(jia)安(an)全机(ji)关等部(bu)门、组(zu)(zu)织组(zu)(zu)成(cheng)监管执(zhi)行(xing)，为各(ge)行(xing)业制(zhi)定数据(ju)行(xing)为规(gui)范，加强数据(ju)安(an)全保护。

伴随数据安全领域法(fa)律法(fa)规(gui)、合规(gui)政(zheng)策(ce)的(de)(de)陆续颁布，监管机制逐步完善，数据安全事(shi)件的(de)(de)影响已经不局限(xian)于经济(ji)损(sun)失、声誉损(sun)害，还可能面临巨额罚(fa)款和刑事(shi)责任。

根据供水领域要求，制定数据安全标准体系

领(ling)域热点方面，包(bao)括数据(ju)安(an)全(quan)(quan)工具、数据(ju)安(an)全(quan)(quan)治理、数据(ju)安(an)全(quan)(quan)培(pei)训、数据(ju)安(an)全(quan)(quan)咨询四(si)部分。

数(shu)据(ju)(ju)(ju)安全(quan)工具：数(shu)据(ju)(ju)(ju)资产体量(liang)巨大(da)、分(fen)布(bu)广(guang)泛、动(dong)态流转(zhuan)，高效的数(shu)据(ju)(ju)(ju)安全(quan)工具是数(shu)据(ju)(ju)(ju)安全(quan)保护的战略制高点。在数(shu)据(ju)(ju)(ju)资产梳理、数(shu)据(ju)(ju)(ju)分(fen)类(lei)分(fen)级、隐私计算、数(shu)据(ju)(ju)(ju)脱敏(min)、数(shu)据(ju)(ju)(ju)安全(quan)运营等方向，数(shu)据(ju)(ju)(ju)安全(quan)厂(chang)商正在积(ji)极布(bu)局。

数据安(an)全治理：围(wei)绕数据生命周(zhou)期，建立(li)数据安(an)全治理体系是数据安(an)全保(bao)障的(de)(de)基(ji)础。DSMM作为(wei)国内探索、实践多年的(de)(de)数据安(an)全治理抓手，助力持续提升(sheng)数据安(an)全治理成(cheng)熟度水平(ping)，确保(bao)数据安(an)全合规(gui)运营。

数据(ju)安(an)全(quan)培(pei)训：场景化(hua)(hua)宣贯提高数据(ju)安(an)全(quan)理(li)论水(shui)平，实战(zhan)化(hua)(hua)培(pei)训验证数据(ju)安(an)全(quan)技术能力。数据(ju)安(an)全(quan)意识(shi)的(de)普及，有利(li)于规范(fan)数据(ju)保护(hu)理(li)念与(yu)行为(wei)，营造数据(ju)安(an)全(quan)氛围与(yu)生态，帮助数据(ju)安(an)全(quan)保障工作持续、有序、稳定开展。

数(shu)据(ju)(ju)安(an)(an)全(quan)咨询(xun)：数(shu)据(ju)(ju)价值凸显(xian)，数(shu)据(ju)(ju)安(an)(an)全(quan)意识觉(jue)醒。数(shu)据(ju)(ju)安(an)(an)全(quan)风(feng)(feng)险(xian)通(tong)过数(shu)据(ju)(ju)流转，形(xing)成难(nan)以分割的动(dong)态风(feng)(feng)险(xian)整(zheng)体，增加数(shu)据(ju)(ju)安(an)(an)全(quan)保障(zhang)的难(nan)度(du)。数(shu)据(ju)(ju)安(an)(an)全(quan)咨询(xun)成为破局的关键(jian)，市场需求与日(ri)俱增。

朱(zhu)波表(biao)示，维护数(shu)(shu)(shu)据(ju)(ju)(ju)安(an)(an)全，应当坚持总体国家安(an)(an)全观(guan)，建立健全数(shu)(shu)(shu)据(ju)(ju)(ju)安(an)(an)全治理体系，提高(gao)数(shu)(shu)(shu)据(ju)(ju)(ju)安(an)(an)全保障能(neng)力。

数(shu)据(ju)安(an)(an)全(quan)(quan)制定方(fang)(fang)面，根据(ju)国家对供水(shui)行业(ye)的要求(qiu)，共(gong)分(fen)为数(shu)据(ju)分(fen)类分(fen)级、数(shu)据(ju)安(an)(an)全(quan)(quan)风险(xian)评估、数(shu)据(ju)安(an)(an)全(quan)(quan)应急处置(zhi)、数(shu)据(ju)安(an)(an)全(quan)(quan)审查、数(shu)据(ju)出口(kou)管(guan)制、数(shu)据(ju)反(fan)歧视、数(shu)据(ju)安(an)(an)全(quan)(quan)管(guan)理、数(shu)据(ju)交易管(guan)理共(gong)八个(ge)方(fang)(fang)面。

数(shu)据安全(quan)发展主(zhu)要包(bao)括数(shu)据安全(quan)标准、数(shu)据安全(quan)服务、数(shu)据应用创(chuang)新(xin)三(san)方面。

朱波表示：“数(shu)据(ju)安全国(guo)家标(biao)(biao)(biao)准(zhun)(zhun)方面，从数(shu)据(ju)安全方向(xiang)(xiang)、个人信(xin)息(xi)保护(hu)方向(xiang)(xiang)出发，颁布了安全及(ji)(ji)技(ji)术要求标(biao)(biao)(biao)准(zhun)(zhun)、管理指南类(lei)标(biao)(biao)(biao)准(zhun)(zhun)以(yi)及(ji)(ji)测试评估规范类(lei)标(biao)(biao)(biao)准(zhun)(zhun)三(san)类(lei)标(biao)(biao)(biao)准(zhun)(zhun)。电信(xin)行业(ye)、金融行业(ye)等都有相(xiang)应的(de)数(shu)据(ju)标(biao)(biao)(biao)准(zhun)(zhun)，但供水领域数(shu)据(ju)安全标(biao)(biao)(biao)准(zhun)(zhun)体(ti)系尚未建立，这(zhei)将是供水企业(ye)今后努力的(de)方向(xiang)(xiang)及(ji)(ji)目标(biao)(biao)(biao)。”

针对数据安全治理难点，分享实践经验

数据(ju)(ju)安(an)全(quan)(quan)(quan)治(zhi)理路(lu)径主要(yao)是(shi)以数据(ju)(ju)为中心，围(wei)绕数据(ju)(ju)生命周期(qi)全(quan)(quan)(quan)过(guo)程，融合技(ji)术、管(guan)理和运营，打(da)造涵(han)盖“云、网、端”的时空一(yi)体化动态安(an)全(quan)(quan)(quan)防护体系(xi)，确保数据(ju)(ju)流转(zhuan)全(quan)(quan)(quan)过(guo)程持(chi)续处于有效(xiao)保护、合法(fa)利用的状态，保障数据(ju)(ju)安(an)全(quan)(quan)(quan)释(shi)放价值。

数(shu)(shu)据安(an)全(quan)治理难(nan)(nan)点可以总结为(wei)数(shu)(shu)据是(shi)否泄漏无(wu)感(gan)知、泄漏途径难(nan)(nan)确认、泄漏事(shi)件(jian)难(nan)(nan)溯(su)源、数(shu)(shu)据资产不清晰、数(shu)(shu)据分(fen)级分(fen)类(lei)无(wu)法落地、数(shu)(shu)据访问(wen)控制难(nan)(nan)落地、数(shu)(shu)据安(an)全(quan)人才(cai)缺失七个方面。

朱(zhu)波介绍(shao)，核心技术能力(li)主要包括智能数(shu)据(ju)分类(lei)分级、数(shu)据(ju)风险监测、数(shu)据(ju)泄密溯源、数(shu)据(ju)安全管控四方面。

智能数(shu)据分类(lei)分级(ji)：通过人工智(zhi)能和(he)机器学习技术，自动提取数(shu)据(ju)特征，进行数(shu)据(ju)分类(lei)分级标签推荐，从而大(da)幅提升数(shu)据(ju)分类(lei)分级的效率。

数据风(feng)险检测：基(ji)(ji)(ji)于大(da)数(shu)据(ju)(ju)计算以及(ji)用(yong)户行(xing)(xing)为分(fen)析技术(shu)，对用(yong)户数(shu)据(ju)(ju)访(fang)(fang)问(wen)流量进(jin)行(xing)(xing)建(jian)模，自(zi)动生成安全基(ji)(ji)(ji)线；基(ji)(ji)(ji)线内容如谁在访(fang)(fang)问(wen)数(shu)据(ju)(ju)，访(fang)(fang)问(wen)什么数(shu)据(ju)(ju)，通过何种途径，什么时(shi)间，访(fang)(fang)问(wen)了多(duo)少数(shu)据(ju)(ju)等；基(ji)(ji)(ji)于安全基(ji)(ji)(ji)线以及(ji)异常(chang)行(xing)(xing)为特征模型对数(shu)据(ju)(ju)访(fang)(fang)问(wen)行(xing)(xing)为进(jin)行(xing)(xing)研判，感知(zhi)风险，上报告警，如：数(shu)据(ju)(ju)越权使用(yong)、API异常(chang)调(diao)用(yong)、运维人员批量读(du)取敏感数(shu)据(ju)(ju)等。

数据泄密(mi)溯(su)源(yuan)：当前主(zhu)流数据共享方(fang)(fang)式(shi)中，传统(tong)的(de)嵌(qian)入追溯水印方(fang)(fang)式(shi)不再有效。通过可疑第三方(fang)(fang)检测模(mo)型对数据泄(xie)(xie)露内(nei)容进(jin)行(xing)数据检测，快速定位出可能的(de)数据泄(xie)(xie)露源(yuan)头，大(da)(da)大(da)(da)提(ti)升数据泄(xie)(xie)露溯源(yuan)的(de)速度。

数据安全管控：基于智能数据分类分级结(jie)果，对不同角色用户访(fang)问数据进(jin)行不同数据安全(quan)访(fang)问策略控(kong)制。

会上，朱(zhu)波也(ye)将合肥供(gong)水集团(tuan)的实践经验进(jin)行了分(fen)享。

在高度重视下(xia)，数(shu)(shu)据(ju)(ju)安全事件仍然(ran)频(pin)发。内(nei)因是获(huo)取数(shu)(shu)据(ju)(ju)有(you)利可图，数(shu)(shu)据(ju)(ju)凭借自身(shen)价(jia)值，拥有(you)“内(nei)泄外(wai)窃/越权使用”的天然(ran)驱动力。外(wai)因是数(shu)(shu)据(ju)(ju)安全保(bao)护不(bu)(bu)力，涉及数(shu)(shu)据(ju)(ju)权责不(bu)(bu)明确、数(shu)(shu)据(ju)(ju)状况不(bu)(bu)清晰、制度策(ce)略不(bu)(bu)完(wan)备、防(fang)护理念不(bu)(bu)匹配等层面(mian)的问题(ti)。各行业数(shu)(shu)据(ju)(ju)安全风险大(da)、泄露(lu)事件频(pin)发。

在此背景下，合肥供水集团(tuan)建立数据(ju)安全助力框架(jia)。

管(guan)理体(ti)系(xi)方面，定目标(biao)、规框架，建立企(qi)业(ye)级数(shu)据(ju)(ju)(ju)中心(xin)(xin)。合(he)肥(fei)供水(shui)集团详细调研31个(ge)主要业(ye)务系(xi)统、16个(ge)业(ye)务部(bu)门，进行(xing)数(shu)据(ju)(ju)(ju)规划，形成9大标(biao)准规范(fan)，数(shu)据(ju)(ju)(ju)中心(xin)(xin)已(yi)采集数(shu)据(ju)(ju)(ju)18亿条(tiao)(tiao)，已(yi)治理数(shu)据(ju)(ju)(ju)8.9亿条(tiao)(tiao)。数(shu)据(ju)(ju)(ju)共(gong)享交换具有8.3亿条(tiao)(tiao)共(gong)享能力，共(gong)享至表务系(xi)统2500万(wan)条(tiao)(tiao)、管(guan)网运(yun)维系(xi)统58万(wan)条(tiao)(tiao)、超等额累进加价系(xi)统233万(wan)条(tiao)(tiao)、合(he)肥(fei)市数(shu)据(ju)(ju)(ju)资源局1100万(wan)条(tiao)(tiao)等。

数(shu)(shu)据安全治(zhi)理制度框架方(fang)面，合肥供水集团为决策(ce)者、管理层(ceng)、执行(xing)层(ceng)分别(bie)制定了(le)相应(ying)匹(pi)配的(de)制度，并建立了(le)相应(ying)的(de)32个一(yi)类到四类的(de)数(shu)(shu)据安全办法、规范(fan)、细则(ze)和手册。

技术体系方面，基于(yu)零信任构筑的(de)数据(ju)安(an)全(quan)(quan)(quan)。采用SDP（软件(jian)定义(yi)边(bian)界(jie)）架构打(da)造的(de)新一代终端(duan)安(an)全(quan)(quan)(quan)接入(ru)架构，由(you)零信任安(an)全(quan)(quan)(quan)网关(guan)、管(guan)理平台、客(ke)户端(duan)及终端(duan)安(an)全(quan)(quan)(quan)监测四个部(bu)分构成，提(ti)供(gong)多种认证、终端(duan)环(huan)境(jing)检查、跨网隔离(li)、非法外(wai)联检测、NAT溯源等能力的(de)端(duan)到端(duan)安(an)全(quan)(quan)(quan)防(fang)护，构建安(an)全(quan)(quan)(quan)、易用、易管(guan)、稳定的(de)可控可管(guan)的(de) “一机两网” 安(an)全(quan)(quan)(quan)环(huan)境(jing)。

 技(ji)术体系(xi)：合(he)肥供水(shui)集团数据安全体系(xi)

技术体系：数据(ju)全生(sheng)命周期安全体系建设(she)

朱波最后表示，数(shu)据安(an)(an)(an)全(quan)(quan)治理是(shi)(shi)数(shu)据治理的(de)(de)(de)一(yi)个子集，安(an)(an)(an)全(quan)(quan)治理既可在数(shu)据治理框(kuang)架下进行，也(ye)可独立实施。欲速则不达(da)，数(shu)据的(de)(de)(de)安(an)(an)(an)全(quan)(quan)问(wen)题得不到(dao)妥善解(jie)决，那么宁愿数(shu)字化转(zhuan)型(xing)慢一(yi)点(dian)，或(huo)者(zhe)不转(zhuan)型(xing)，也(ye)不能(neng)在错误的(de)(de)(de)方(fang)向上渐行渐远。理想的(de)(de)(de)方(fang)案是(shi)(shi)获(huo)取全(quan)(quan)量(liang)数(shu)据安(an)(an)(an)全(quan)(quan)指(zhi)标；经济的(de)(de)(de)方(fang)案是(shi)(shi)能(neng)够满(man)足当前业(ye)务的(de)(de)(de)风险控制(zhi)需(xu)求。把未知的(de)(de)(de)风险转(zhuan)变为已(yi)知的(de)(de)(de)风险，再(zai)去寻找抵御风险和提升防御能(neng)力的(de)(de)(de)方(fang)法。

数(shu)据安全治理只(zhi)有起点没有终点，数(shu)据安全保(bao)护永远(yuan)在路上。